ACME Verify error
-
Hallo zusammen,
Ich bin neu in diesem Bereich und wurde quasi ins Kalte Wasser gestoßen, versuche nun mein Problem hier so gut wie nur möglich zu schildern. Die Google-Suche ergab derzeit keine Erfolgreiche Problemlösung.
Wir betreiben ein Netgate 3100 mit der Version 22.05
Dahinter sind 2 Netze, eines für Office und ein DMZ welches für unsere Cloud, Homepage etc zuständig ist.Realisiert wird das ganze auf einem kleinen Server auf dem Virtualbox installiert ist, auf dieser befindet sich eben die Cloud lösung, Homepage, 3CX Telefonanlage.
Was noch Wichtig ist: Multi domain='DNS:www.xxx.com,DNS:service.xxx.com'
Sprich, www.xxx.com ist für die Homepage gedacht; service.xxx.com ist für die Cloud.Abgesichert wird dies durch letsencrypt.
Da jedoch letsencrypt nur ein Zertifikat für 3 Monate ausgibt, muss ich es jetzt nun erneuen. Ist bei pfsense recht einfach.Leider bekomme ich folgende Fehlermeldung und hoffe ihr könnt mir hier helfen:
Webserver
Renewing certificate
account: Productive
server: letsencrypt-production-2/usr/local/pkg/acme/acme.sh --issue --domain 'www.xxx.com' --standalone --listen-v4 --httpport '80' --domain 'www.xxx.com' --standalone --listen-v4 --httpport '80' --home '/tmp/acme/Webserver/' --accountconf '/tmp/acme/Webserver/accountconf.conf' --force --reloadCmd '/tmp/acme/Webserver/reloadcmd.sh' --log-level 3 --log '/tmp/acme/Webserver/acme_issuecert.log'
Array
(
[path] => /etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin/
[PATH] => /etc:/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin/
[port] => 80
[ipv6] =>
)
[Mon Feb 13 12:07:24 CET 2023] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Mon Feb 13 12:07:24 CET 2023] Standalone mode.
[Mon Feb 13 12:07:24 CET 2023] Standalone mode.
[Mon Feb 13 12:07:25 CET 2023] Multi domain='DNS:www.xxx.com,DNS:service.xxx.com'
[Mon Feb 13 12:07:25 CET 2023] Getting domain auth token for each domain
[Mon Feb 13 12:07:31 CET 2023] Getting webroot for domain='www.xxx.com'
[Mon Feb 13 12:07:31 CET 2023] Getting webroot for domain='service.xxx.com'
[Mon Feb 13 12:07:31 CET 2023] Verifying: www.xxx.com
[Mon Feb 13 12:07:31 CET 2023] Standalone mode server
[Mon Feb 13 12:07:34 CET 2023] Pending, The CA is processing your order, please just wait. (1/30)
[Mon Feb 13 12:07:37 CET 2023] www.xxx.com:Verify error:62.240.128.72: Invalid response from http://www.xxx.com/.well-known/acme-challenge/wCSyAsP9hDHGn7CPmLyEXZd7uuAUlnBgpBrcKZux39M: 404
[Mon Feb 13 12:07:37 CET 2023] Please check log file for more details: /tmp/acme/Webserver/acme_issuecert.log -
@decidable3195 Ich verstehe da ehrlich gesagt nicht ganz was du da genau tust? Warum das Zertifikat auf der pfSense? Nutzt ihr da HAproxy oder irgendwas darauf? Davon steht da nichts, daher verstehe ich es nicht ganz, warum ihr das Zertifikat auf der Sense habt.
Ansonsten sieht das nach einem Problem beim Refresh aus, weil die Webseite nicht die Token Antwort gibt. Aber solange ich nicht weiß, was ihr da genau tut, kann ich keine wirkliche Antwort geben, was genau umzustellen wäre.
Cheers
-
@decidable3195 said in ACME Verify error:
Realisiert wird das ganze auf einem kleinen Server auf dem Virtualbox installiert ist, auf dieser befindet sich eben die Cloud lösung, Homepage, 3CX Telefonanlage.
FRAGE:
- ist das für eine firma oder privat
- sollte es für eine firma sein, warum nutzt ihr dann Virtualbox (das hört sich für mich nicht wirklich nach professionell an)?
-
@micneu said in ACME Verify error:
FRAGE:
ist das für eine firma oder privat
sollte es für eine firma sein, warum nutzt ihr dann Virtualbox (das hört sich für mich nicht wirklich nach professionell an)?Oh sorry, es war natürlich Proxmox VE (nicht Virtualbox)
Ist Firma -
@jegr said in ACME Verify error:
@decidable3195 Ich verstehe da ehrlich gesagt nicht ganz was du da genau tust? Warum das Zertifikat auf der pfSense? Nutzt ihr da HAproxy oder irgendwas darauf? Davon steht da nichts, daher verstehe ich es nicht ganz, warum ihr das Zertifikat auf der Sense habt.
Ansonsten sieht das nach einem Problem beim Refresh aus, weil die Webseite nicht die Token Antwort gibt. Aber solange ich nicht weiß, was ihr da genau tut, kann ich keine wirkliche Antwort geben, was genau umzustellen wäre.
CheersWir haben auf dem Server das Proxmox VE (nicht Virtualbox) installiert, darauf laufen dann Homepage, Cloud etc
HAproxy nutzen wir nicht.Homepage und Cloud nutzen den 80 und 443 Port. Denke das es deshalb "besser" ist wenn pfsense das mit dem Zertifikat übernimmt
-
@decidable3195 Nochmal: Wie funktioniert dann das Setup, wenn beide Dienste 80/443 verwenden, ihr KEINEN HaProxy verwendet und pfSense das Zertifikat machen soll? Wie soll das Zertifikat jetzt wohin ausgespielt werden? pfSense ohne HAproxy hat nichts mit WebTraffic zu tun, heißt es geht nur ein Port Forwarding von WAN -> intern. Das geht aber nur für ein Ziel, nicht für mehrere - es gibt keine Unterscheidung bei Port 443 was jetzt Homepage und was Cloud ist. Wenn das alles zum gleichen Server geht - OK, dann muss der damit klarkommen, aber dann verstehe ich erneut nicht, was pfSense dann mit dem Zertifikat zu tun haben soll.
Das Zertifikat auf der Sense zu verwalten macht nur Sinn, wenn sie irgendwas damit tun soll. Ohne HAproxy verstehe ich den Sinn nicht?
Cheers
-
@jegr Ich weiß das das keinen Sinn macht.
Soweit ich weiß wird hier DNS Resolver verwendet.
Aber ob das das Problem verursacht weiß ich nicht.Wie gesagt ich bin hier ins kalte Wasser gestoßen worden und brauch nun hier eine kleine Unterstützung.
-
So jetzt habe ich einen kompletten blödsinn gemacht :(
Hab etwas umgestellt das von https nun http verwendet.
Jetzt ist es so wenn ich mich einlogen möchte, ich anstatt https:xxx.xxx.xxx.xxx nun ohne "s" verwenden muss.
Nachdem ich User uns PW eingegeben habe refresht die Seite und bin wieder bei der Login Seite. Komme so nicht mehr ins System hinein.Was mache ich nun?
-
@decidable3195 Ich würde dir ja wirklich gerne helfen, aber ohne zu verstehen, was ihr da wo tut, kann ich es schlicht nicht. Du sprichst von ACME und dann von DNS, jetzt hast du irgendwo irgendwas umgestellt aber postest nicht was. Woher soll man denn wissen, was du jetzt wie verstellt hast? Dass die Seite nicht mehr geht wundert nicht, da viele entsprechend intern mit Umleitungen auf HTTPS etc. arbeiten, dann funktioniert der Login nicht mehr.
Da ihr aber anscheinend keinen Proxy einsetzt kann es auch nicht wirklich was auf der Sense gewesen sein, was das Problem jetzt verursacht?Also wäre es schön wenn wir mal einen Schritt zurück gehen und wir mal komplett aufdröseln um hier überhaupt Sinn reinzubekommen:
- Um welche Dienste geht es hier konkret?
- Wo laufen diese und mit welcher internen IP?
- Wie greift man von wo darauf zu?
- Welche internen Netze (wenn mehrere) sind involviert?
- Was hat die Sense damit zu tun? Bei welchem Zugriff ist die überhaupt involviert?
Am Einfachsten wäre natürlich ein kleiner Plan oder Skizze aber wenn dus mal etwas weitergehend niederschreiben würdest, wäre das auch schon eine große Hilfe. So verstehe ich wie gesagt überhaupt nicht was wo wie läuft und warum die Sense da involviert sein soll.
Cheers
\jens
